Industrie 4.0 mit Zero Trust – ohne Produktivitätsverlust

Um die Produktionsanlagen vor Angriffen von außen wie innen zu schützen, ohne dabei auf Zugriffsmöglichkeiten vom Homeoffice oder anderen Standorten zu verzichten, hat Siemens zusammen mit Zscaler das bisherige OT-Konzept um eine Zero-Trust-Architektur erweitert.

Siemens war Mitte 2020 nach dem ersten Corona-Lockdown eines der ersten großen Industrieunternehmen, das angekündigt hat, für einen Großteil der weltweiten Belegschaft Homeoffice und Remote Work dauerhaft zu etablieren, optional zumindest. Und das betrifft auch Tausende und Abertausende von Fabrikarbeitskräften. Die moderne Industrieproduktion, Stichwort Industrie 4.0, macht es dank IoT- oder EMS-Anbindung über die Cloud möglich, auf die Maschinen beziehungsweise Operational Technology (OT) und ihre Daten „remote“ zuzugreifen. Und das ist Siemens für einen ausgewählten Personenkreis ebenso wichtig wie die Minimierung der Risiken durch Angriffe von Dritten.

Least-Privilege-Access gewährt nur anwendungsweise Zugriff

Und daher hat der deutsche Industriegigant sich an den Partner Zscaler gewandt, um das schon bestehende vielschichtige „Defense-in-Depth“-OT-Konzept um eine Zero-Trust-Architektur zu erweitern. Nach dem Prinzip des „Least-Privilege-Access“ haben Mitarbeitende nur anwendungsspezifischen Zugriff auf die Produktionsanlagen und müssen sich entsprechend mit ihrer Benutzer-ID und Authentifizierung ausweisen. Somit kam Siemens in Kombination mit den bereits vorhandenen OT-Sicherheitsmechanismen, wie etwa Zellschutz-Firewalls, zu einem noch feiner abgestimmten, granularen Zugriffskonzept.

Gleichzeitig erfüllt die Lösung alle modernen Produktionsanforderungen in puncto Verfügbarkeit und Zugriffsmöglichkeiten in Echtzeit. Für die operative Seite kommt ein App-Connector für den cloudbasierten Fernzugriffsdienst Zscaler Private Access™ (ZPA™) zum Einsatz. Dieser läuft auf einem Docker-Container in der lokalen Verarbeitungsplattform Siemens Scalance LPE, womit die in Industrieumgebungen erdorderte hohe Sicherheit und Leistung gegeben ist.

Die zentrale Verwaltung übernimmt die Cloud-Plattform Zscaler Zero Trust Exchange™, die zusammen mit der Nutzung von ausgehenden Verbindungen eine restriktivere Konfiguration bestehender Firewall-Regeln ermöglicht. Gleichzeitig reduzieren sich damit auch die Betriebskosten für die Administration und das Monitoring. Ein weiterer Pluspunkt der Zero-Trust-Exchange-Lösung ist der, dass sich auch bestehende „Altlasten“ problemlos nachrüsten lassen.

Zscaler Private Access for OT sorgt für die Benutzeranbindung auf Basis des Zero-Trust-Prinzips der geringsten Privilegien. Alle autorisierten Siemens-Fach- und Führungskräfte haben so gemäß ihrer Berechtigung nur Zugriff auf eine ganz bestimmte Anwendung, statt auf das ganze Produktionsnetzwerk. Siemens Scalance LPE bietet mehrere Möglichkeiten für die Integration in die Netzwerkinfrastruktur. Die Verarbeitungsplattform erlaubt dabei ein hohes Maß an Konnektivität und Sichtbarkeit, ohne die Integrität und Sicherheit der Daten in solchen IoT- oder EMS-Szenarien zu beeinträchtigen.

Zscaler hat als führender Anbieter von Zero-Trust-Lösungen nicht nur eigene Module wie den ZPATM eingebracht, sondern auch das nötige Knowhow, um die Transformation bei Siemens voranzutreiben. Die gemeinsam entwickelte Lösung und die Zscaler-Produkte sind auf schneller User Experience (UX) ausgelegt und erschließen sich intuitiv, um auf Anwendungen und Workloads in der Cloud zuzugreifen. Wie von Siemens bestätigt, hat die für die Cloud entwickelte moderne Zero-Trust-Netzwerkarchitektur nicht nur die Ausfallsicherheit deutlich erhöht, sondern auch zu einer erheblichen Kosteneinsparung beigetragen. Dabei sind die eigentlichen Potenziale noch gar nicht ausgeschöpft und werden sie sich erst im Laufe der kommenden Monate und Jahre zeigen.

Quelle Titelbild: Adobe Stock / lexiconimages